设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20190627)
返回列表 发新帖

每日安全简讯(20190627)

[复制链接]
发表于 2019-6-26 21:21 | 显示全部楼层 |阅读模式
1 Gift Cardsharks:以商业工具为目标的大规模运动

RiskIQ研究人员发现了一项以商业工具为目标,针对数百个组织的大规模运动“Gift Cardsharks”,其中许多组织经营礼品卡业务。研究人员在调查IT供应商Wipro被入侵时,该攻击组织首次被发现,该攻击活动可追溯至2016年。研究人员通过分析发现该组织利用广泛使用的电子邮件营销和分析工具来创建有效的电子邮件网络钓鱼活动,这对目标的网络安全而言似乎是合法的。该组织主要针对礼品卡零售商、分销商和卡处理商。 通过访问此礼品卡基础设施,攻击者可以使用汇款服务、票据交换所和其它支付处理机构来获利。 该组织使用的PowerShell脚本之一BabySharkPro通常与朝鲜威胁组织活动相关联,但这可能是一种混淆视听的行为。
 Webp.net-resizeimage-52.jpg

https://www.riskiq.com/blog/exte ... nt/giftcard-sharks/
Gift-Cardsharks-Intelligence-Report-2019-RiskIQ.pdf (5.01 MB, 下载次数: 17)

2 安全厂商披露针对中东的移动间谍活动ViceLeaker

卡巴斯基研究人员在2018年5月发现了一项针对以色列公民的数十种移动Android设备的攻击活动,研究人员将其称为ViceLeaker活动。攻击者使用了Smali注入技术,向合法应用程序植入后门。APK除了具有窃取信息、通话记录等常见的软件间谍功能外,还具有接管相机、记录音频和上传、下载、删除文件等后门功能。后门使用HTTP与C2服务器进行通信,以进行命令处理和数据泄露。后门与ViceLeaker恶意软件共享代码,特别的是二者都使用分隔符解析来自C2服务器的命令。
 fanning-the-flames-viceleaker-operation-12.png

https://securelist.com/fanning-t ... er-operation/90877/

3 LokiBot和NanoCore通过ISO磁盘镜像文件分发

Netskope实验室追踪到2019年4月开始的10种类似的垃圾邮件活动,邮件包含的ISO磁盘镜像文件用于分发LokiBot和NanoCore。ISO文件的大小为1MB到2MB,只包含一个可执行文件,实际为恶意软件载荷。LokiBot使用IsDebuggerPresent()函数确定它是否加载在调试器中,通过测量CloseHandle()和GetProcessHeap()之间的计算时间差,以检测它是否在VM中运行。NanoCore使用AutoIT作为主.net编译二进制文件的顶级包装构建。AutoIT脚本严重混淆,并构建实际.NET二进制文件。感染流程为首先尝试检测调试器的存在,然后创建互斥锁并执行进程注入,通过修改注册表创建持久性。一旦获得了立足点,将捕获系统信息,并连接到FTP服务器上传数据。
 Snip20190604_3.png

https://www.netskope.com/blog/lo ... so-disk-image-files

4 恶意软件Silex针对物联网设备进行破坏性攻击

研究人员发现了一种新恶意软件Silex正积极破坏物联网设备。Silex于25日下午四点开始活动,大约四个小时之后,已经破坏近2千台设备。Silex从伊朗服务器进行攻击,目标是任何具有默认登录凭证的类Unix系统。研究人员表示Silex的工作原理是破坏物联网设备的存储,删除防火墙规则,删除网络配置,然后停止设备运行,在不破坏设备电路的情况尽可能达到的最大破坏程度。受害者必须手动重新安装设备的固件来恢复设备。研究人员表示幕后攻击者为一名14岁的青少年黑客。
 silex-bricker-bot.png

https://www.zdnet.com/article/ne ... es-has-scary-plans/

5 勒索软件Troldesh积极感染俄罗斯和墨西哥用户

Avast研究员在6月24日观察到勒索软件Troldesh(又名Shade)主要针对俄罗斯和墨西哥的传播活动,也在英国和德国发现了小范围的传播活动。Troldesh通过社交网络和其它邮件平台传播,邮件指向恶意链接,下载并运行恶意文件,完成感染。Troldesh正在暗网上出售或出租,黑客不断更新和修改这种病毒,最新的Troldesh修改不仅加密计算机上的文件,还利用受感染计算机的资源进行挖矿,并为站点生成流量,提供广告收入。如果在计算机上检测到会计程序,则会安装其它软件来远程访问系统。
 1561555318(1).png

https://blog.avast.com/ransomware-strain-troldesh-spikes

6 BlueStacks漏洞允许攻击者远程控制安卓模拟器

安全研究人员在BlueStacks 安卓模拟器中发现漏洞,该漏洞允许攻击者远程执行代码、泄露信息及其窃取虚拟机及其数据的备份。在BlueStacks v4.90.0.1046之前的版本中,存在一个DNS重绑定漏洞,攻击者可以利用该漏洞通过恶意网页访问BlueStacks App Player IPC机制,从而利用IPC执行多种攻击。该漏洞已在最新版本4中得到修复,但并没有扩展到版本2和版本3,因此建议用户升级至最新版本。
 bluestacks-4.jpg

https://www.bleepingcomputer.com ... l-android-emulator/


回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 21:51

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表